Skip to main content

Hallo zusammen, 

ich habe einen privaten DSL 300/30 Anschluss. Als Modem verwende ich eine Fritzbox (modell hier irrelevant), welche allerdings nur via PPPoE-Passthrough als reines Modem verwendet wird. Die Einwahl übernimmt meine netgate pfsense Firewall. Soweit so gut. 

Die pfsense hat einen vollwertigen DNS-Server (unbound) mit an Board, welcher eben nicht nur als reiner Forwarder DNS-Server fungiert sondern präferiert direkt mit den Internet Root-DNS-Server arbeiten will. Was aus Performance-, Security- und Privacy-Sicht auch absolut zu bevorzugen ist.

Leider bekomm ich das aber so einfach nicht zum Laufen. Es scheint so, als würde A1 die DNS-Kommunikation (UDP/TCP 53) zu den root DNS-Servern einfach blockieren. Im Packet Capture sehe ich die ausgehende Kommunikation, kommend von meinem WAN-Interface. Jedoch kommt niemals eine Antwort zurück (wird vermutlich gedropped). Was dann dazu führt, dass meine interne DNS-Auflösung funktioniert, alles Externe aber in nen Timeout läuft.

Weiß da jemand was dazu? Bei Salzburg AG als Provider funktioniert das wunderbar. Bei meinem speziellen Anschluss nicht, was ich sehr schade finde.

Bevor ich jetzt bei der Hotline anrufe, und ich denen mal wieder nicht klarmachen kann, was ich will, wollte ich mal hier nachfragen ;)

SG
Manuel

Könnte nicht auch die Fritte blockieren?

Ehrlich gesagt ist mir das Thema schon zu komplex, aber ich fürchte es hat eher mit dem Passthrough der Fritzbox zu tun. Glaub nicht, daß A1 da was blockieren würde.

Ist dann ja eh völlig sinnbefreit dort einen Fritzbox anzuhängen, kannst nicht ein anderes einfaches Betreibermodem im SU-Mode drantun und damit testen?


was sind root DNS-Server?

Reden wir von Cloudflare, Google, Quad9….?

DNS läuft über Port 53.
Client zu DNS über UDP

DNS zu DNS über TCP

Check vielleicht das mal.


Es geht vermutlich um diese DNS Server: https://de.wikipedia.org/wiki/Root-Nameserver
Kurzfassung, DNS ist hierachisch und irgendwo ist halt der Null Punkt. Die Root DNS Server wissen, welche DNS Server für .com, .at, .de etc verantwortlich sind.

Ob A1 da etwas blockiert kann ich leider nicht testen. 

 

In diesem Fall würde es tortzdem über UDP laufen, weil es kleine Anfragen sind. Bei größeren Anfragen / Zonen Transfer wird eher TCP verwendet.


Hallo zusammen, 

@Grisu Ich bin mir ziemlich sicher, dass die Fritte da dazwischen nix macht. Die wird ja auch nicht als Router verwendet und kommt selbst auch gar nicht ins Internet (klingt komisch, ist aber so :)).

Die PPoE Einwahl macht meine pfsense, diese bekommt somit auch die offizielle IP zugewiesen. Die Fritte wird nur als Modemhardware verwendet und mault vor sich hin, weil sie selbst kein Internet hat. (was works as designed ist)

 

@cos.renegade es ist genau so, wie @jo93 schreibt. Cloudflare, Google, QUAD9 oder die DNS-Server vom Provider sind alles nur Cache-Server, keine echten DNS-Server.

Ich will mit meinem lokalen DNS-Server direkt mit den Root-Nameservern kommunizieren. Bei manchen Providern geht das, bei anderen nicht. Ich habe im Netgate-Forum auch schon A1 Kunden getroffen, bei denen es geht. Es dürfte also nicht ganz konsistent in der Konfiguration bei A1 sein. Bzw. ists vielleicht auch Standort abhängig. 

Habe auf der pfsense schon mehrere Captures gemacht. Ein nmap auf udp/tcp 53 zu einem Root-Server hab ich mal getestet. Das geht. Aber die echten DNS-Request sehe ich das WAN-Interface zwar verlassen, jedoch kommt niemals nie eine Antwort zurück. Ich kann mir nur vorstellen, dass die A1 hier ne Deep Packet Inspection aktiv hat und “echte” DNS-Requests einfach dropped. Nur wie erkläre ich das dem A1 Support. Es war damals vor der Fritzboxzeit schon eine echte Odyssey denen klar zu machen, dass sie mir den Router auf Modem umstellen sollen. Der normale Support war zwar freundlich, hatte aber keine Ahnung was ich will und verwies mich auf die bezahlpflichtige Guru-Hotline. Die haben mir das dann mit viel Gezeter und Unfreundlichkeit dann missbilligend und gegen Einwurf von Geld dann gemacht. 🤐

 


Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.


Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.

Das war auch meine erste Idee. Ist lt. dem Anwender aber nicht so. Er ist eben in der Steiermark, ich in Salzburg.


DNS Root Server sind da um mit anderen DNS Servern zu kommunizieren. Eventuell ist der DNS Client nicht dafür ausgelegt. Es kann auch sein, dass bestimmte Netzwerkprotokolle nicht ausgeführt werden zB ICMP. Aber das ist pure Spekulation meinerseits.


Auf jeden Fall interessanter Beitrag, schon einmal danke dafür!


@BigR2020 

Ja genau, meine pfsense firewall hat ja einen echten DNS-Server drauf (unbound). Dessen präferierte Kommunikation wäre eben DNS zu DNS. Einen Cache-Server zB. von Cloudflare, Google, QUAD9, A1, ...egal zu verwenden ist da eigentlich nur die zweit beste Lösung und in unbound nur die Fallback Lösung. Pingen kann ich ja (ICMP), nmap auf udp/tcp 53 geht auch. Aber nmap ist eben keine echte DNS-Kommunikation, sondern nur eine Art Ping auf einen specifischen Port. Firewalls können auch eine sogenannte DPI (Deep Packet Inspection) machen. In dem die Netzwerkpakete nicht nur anhand des Ports gefiltert werden, sondern in jedes Paket genau reingeschaut wird, was es wirklich ist. Meine These ist, die DPI lässt einfach keine DNS-Kommunikation zu den Root-Servern durch, bzw. dropped die einfach kommentarlos. Denn es kommt keine Reject Meldung zurück auf meine Anfragen. Es kommt einfach gar nichts zurück, wird also verworfen.


In den 90ern hatte ich meinen eigenen DNS Server unter Linux (bind) und einen transparenten Proxy (squid). Eingewählt habe ich mich per Modem. Wenn ich mich richtg erinnere habe ich auch ICMP Pakete für den DNS Server gesehen. Aber da kann ich mich auch täuschen. Soviel ich weiß, betreibt A1 ICMP Filtering was für einen großen Provider sinnvoll ist.


ev. liegt es daran das man DNSSEC einrichten muss um die Rootservern zu reden.

https://www.tecchannel.de/a/umstellung-der-root-server-auf-dnssec-alles-halb-so-wild,2027766

 

 


Lieber @manuel.aigner,

war unter den vielen hilfreichen Kommentaren meiner Vorposter die Antwort bzw. ein Hinweis auf die mögliche Lösung dabei? - Wenn ja wäre es toll, wenn du es als “beste Antwort” markierst!

Vielen Dank,

Wolfgang


Hi @A1_Wolfgang 

Es waren auf jeden Fall gute Inputs dabei, ja. Leider hat noch nichts zur Lösung führen können. Fürchte ich muss wohl doch auf die kostenpflichtige Guru-Hotline zurückgreifen. Der normale Support wusste leider überhaupt nicht wovon ich überhaupt rede. 

 

@hwk123  Danke, guter Punkt. Hätte ich ich auch ausprobiert, unbound kann ja DNSSEC und das ist per default auch alles an. 

 

Bei den Tutorials ist das bei der pfsense auch überhaupt kein Aufwand alles einzurichten, geht alles wunderbar über die UI. War auch schon im netgate Forum, dort tippt man auch eher auf eine Blockade seitens des Providers.

 


Also bei mir klappts zumindest wunderbar, halt nur via nslookup getestet, aber das ging (residential DSL access)


Oh interessant, wie schaut dein “Testaufbau” aus?


simples nslookup vom PC aus…

PS C:\Users\W> nslookup

Standardserver:  x

Address:  192.168.1.254

> server 192.112.36.4

Standardserver:  G.ROOT-SERVERS.NET

Address:  192.112.36.4

> www.google.at

Server:  G.ROOT-SERVERS.NET

Address:  192.112.36.4

Name:    www.google.at

Served by:

- ns9.univie.ac.at

          194.0.10.100

          2001:678:d::cafe

          at

- ns2.univie.ac.at

          192.92.125.2

          2001:678:1c::2

          at

- d.ns.at

          81.91.161.98

          at

- j.ns.at

          194.146.106.50

          2001:67c:1010:12::53

          at

- n.ns.at

          81.91.173.130

          2a02:568:281::130

          at

- u.ns.at

          185.102.12.2

          2a02:850:ffff::2

          at

- ns1.univie.ac.at

          78.104.144.2

          2001:628:2030:4301::2

          at

- r.ns.at

          194.0.25.10

          2001:678:20::10

          at

aber sehr interssant ist, wenn ich den Server mit Namen anspreche, hab ich anderes verhalten...

PS C:\Users\W> nslookup

Standardserver:  x

Address:  192.168.1.254

> server G.ROOT-SERVERS.NET

Standardserver:  G.ROOT-SERVERS.NET

Addresses:  2001:500:12::d0d

          192.112.36.4

> www.google.at

Server:  G.ROOT-SERVERS.NET

Addresses:  2001:500:12::d0d

          192.112.36.4

*** www.google.at wurde von G.ROOT-SERVERS.NET nicht gefunden: No response from server.


It's always DNS :)

Ah sieht so aus, als würde es bei IPv6 sich komisch verhalten.


It's always DNS :)

Ah sieht so aus, als würde es bei IPv6 sich komisch verhalten.

 

Da hätte man auch drauf kommen können,ne?


@w1-net 

tatsächlich funktioniert es bei mir über nslookup ebenfalls, wenn ich die Verwendung eines Rootservers forciere. Ich vermute aber, dass ne Server zu Server Verbindung nicht ganz das selbe ist, wie ne Client zu Server. 

Habs auch mit meiner test pfsense (VM) nochmal versucht, die hat dieselben Probleme wie die Hardware. Seitens pfsense muss man da eigentlich nicht viele einstellen, damit das funktioniert. Da stellt man einfach von “forwarder” auf “resolver” Modus und das sollte es im Normalfall gewesen sein. 


Antworten